Isilon CloudPools:Amazon AWS証明書プロバイダーの変更によりCloudPoolsへのアクセスに影響がある

Summary: Amazonでは、Webサービスの認証局を変更しているため、CloudPoolsへのアクセスに影響があります。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Amazon証明書プロバイダーの変更によりCloudPoolsへのアクセスに影響があります。

Cause

Amazonでは、Webサービスの認証局を変更しており、CloudPoolsへのアクセスに影響します。

Amazon証明書の変更に関する詳細については、次のリンクを参照してください。
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/

OneFSは、サポートされているパブリックCloudPoolsストレージ プロバイダーへの接続を容易にするために、プリインストール済み証明書で構築されています。Dellでは、今後のCloudPools構成のためにこの新しい証明書を追加するパッチ作成に取り組んでいます。ただし、CloudPoolsアーカイブをAmazon AWSに使用している既存のお客様の場合、CloudPoolsへの接続を引き続き使用するには、「解決方法」セクションの手順に従って、変更を加える必要があります。

Resolution

OneFS 8.1以前:

クラスター向け.pemファイルのダウンロード:

# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

ユーザー向け.pemファイルのダウンロード:
Amazonの公式証明書サイトから適切な自己署名証明書を取得します。
https://www.amazontrust.com/repository/

クライアントを使用して、次のファイルをダウンロードします。

これらのファイルをクラスターに移動します。

OneFSで証明書を使用できるようにする:
クラスター上のコマンド ラインでrootユーザーとして、.pemファイルが移動されたディレクトリーから次の手順に従います(を.pemファイル名に置き換えます)。

  1. 証明書を適切なディレクトリーに移動します。

# cp /ifs/.ifsvar/modules/cloud/cacert

  1. 証明書ディレクトリーに移動します。

# cd /ifs/.ifsvar/modules/cloud/cacert

  1. ダウンロードした5つの.pemファイルのそれぞれでこのプロセスに従います。証明書のハッシュを取得します。

# openssl x509 -hash -noout -in

  1. 上記のからの出力を使用して、へのシンボリックリンクを作成します。

# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0

(「.0」ファイルが存在する場合は、代わりに「.1」を使用します)。

これで、OneFS 8.1以前のバージョンで証明書の追加が完了しました。


OneFS 8.2以降の場合:
cacertディレクトリーがないため、ダウンロードは動作する別のディレクトリー(/ifs/data/Isilon_Supportなど)で実行する必要があります。

クラスター側での.pemファイルのダウンロード:

# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

ユーザー側での.pemファイルのダウンロード:
Amazonの公式証明書サイトから適切な自己署名証明書を取得します。
https://www.amazontrust.com/repository/

クライアントを使用して、次のファイルをダウンロードします。

これらのファイルをクラスターに移動します。

OneFSで証明書を使用できるようにする:
クラスター上のコマンド ラインでrootユーザーとして、.pemファイルが移動されたディレクトリーから次の手順に従います(を.pemファイル名に置き換えます)。

  1. 証明書を適切なディレクトリーに移動します。

# cp /ifs/data/Isilon_Support/

  1. そのディレクトリーに移動します。

# cd /ifs/data/Isilon_Support/

証明書を証明書管理システムにインポートするには、次を実行します。

# isi certificate authority import --certificate-path= --description=”” --name=

これを自動的に実行するには、次を実行します。

# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert

正常にインポートされたことを検証するには、次を実行します。

# isi certificate authority list

出力には、新しく追加された証明書名が表示されます。


RUPを使用した修正について:
AWS S3証明書をAmazon Trust Services (8.2.2)に更新します。
https://jira.cec.lab.emc.com/browse/PSCALE-58298

パッチ:[8.2.2_GA-RUP_2021-07][Multiple Userspace and Kernel Fixes](2021年7月)
https://jira.cec.lab.emc.com/browse/PSP-1250

対象のAmazon証明書のインポート プロセスを完了するには、RUPの適用に加えて、次のコマンドを実行する必要があります。

# python -m isi.certs.provision

------------------

  1. パッチのみを適用しても、インポート プロセスは完了しません。

i8220s-1#  isi upgrade patches list
Patch Name                    Description                         Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------

i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#

  1. 対象のAmazon証明書のインポートを完了するには、次のpythonコマンドを実行する必要があります。

i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3                      valid   2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2                      valid   2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1                      valid   2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4                      valid   2040-05-26T09:00:00

Affected Products

Isilon SmartPools
Article Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.